Die DevOps-Methodik wird aus gutem Grund zum Mainstream: 99 % der Praktiker sagen, dass es ihre Organisation positiv beeinflusst hat.
Während DevOps in erster Linie eine Art der Zusammenarbeit ist, wird vieles davon durch Tools geprägt. Und es stellt sich heraus, dass viele beliebte DevOps-Tools wie Prometheus, Argo, Grafana, KubeFlow und Jenkins Open-Source-Software (OSS) sind.
Während die Verwendung von OSS kostenlos ist, ist die Zusammenstellung eines OSS-DevOps-Toolsets – mit durchschnittlich 15 Tools pro Unternehmen – nicht ohne Herausforderungen. Werfen wir einen Blick darauf, was diese Hürden sind und wie man sie vermeidet.
Wählen Sie aktive, unterstützte Projekte aus
Bevor Sie Ihrem DevOps-Toolset ein OSS-Projekt hinzufügen, stellen Sie sicher, dass Sie eine vollständige Prüfung durchführen: Wie viele Mitwirkende hat das Projekt? Sind es Einzelpersonen oder Organisationen? Wie schnell werden Probleme gelöst? Ist ihr Community-Forum oder Slack aktiv?
Dadurch erhalten Sie ein Bild von der Gesamtaktivität und dem Zustand des Projekts.
Sie müssen bedenken, dass die Software zwar kostenlos ist, die Betriebskosten jedoch immer eine Realität sind.
Auch etablierte OSS-Projekte können gefährdet sein. Das Logging-Tool Log4j beispielsweise befindet sich seit letztem Jahr im Trüben. Es wurden zahlreiche schwerwiegende Sicherheitsverletzungen gefunden, und die Community brauchte Zeit, um Sicherheitspatches zu entwickeln.
Diese Patches selbst leider neue Sicherheitslücken eingebracht. Und da das Tool in so viele Teile des Software-Stacks eingebettet ist, ist die Behebung von Problemen eine schwierige Aufgabe. Bei kleineren Organisationen mit einem kleinen IT-Budget oder ohne Sicherheitsprobleme wird das Patchen möglicherweise nie durchgeführt. Die Situation ist so schlimm, dass die FTC eingreift und bedrohlich Bußgelder zu verteilen.
Die Auswahl von Projekten, die von führenden OSS-Führungskräften wie CNCF und der Apache Foundation unterstützt werden, ist ein weiterer guter Indikator. Diese Organisationen werden auftreten Sicherheitsaudits auf Projekte, die sie unterstützen, und stellen im weiteren Sinne sicher, dass sie einen Reifegrad erreicht haben, der auf klare Kriterien.